PE 재배치를 실습하기 위해서 ollydbg와 PEView를 이용했다.
그런데 PEView를 이용해서 계산을 해도 ollydbg로 보면 엉뚱한 값이 나와서 당황했다.
이렇게 notepad.exe를 실행시키고, ImageBase를 확인하기 위해서 스크롤을 맨위로 올렸는데 "E61000"이라는 주소가 있다. 이게 ImageBase 인줄 알고 계산을 했기때문에 정상적인 값이 나오지 않았다.
저 그림에 M이라는 버튼을 클릭하면 Memory Map이 나오는데 거기서 PE Header라고 쓰여있는 주소를 더블클릭하면 PE Header 구조가 나온다.
여기서 ImageBase를 확인해본 결과
이렇게 code window에서 확인한 "E61000"이 아니라 "E60000"인것을 알 수 있었다.
구글링 해보니 .text 영역의 크기(1000)를 더한 값이라는 설명이 있었다.
'Reversing(리버싱 핵심 원리) > 개념' 카테고리의 다른 글
| UPack PE 헤더 상세 분석 (0) | 2019.03.25 |
|---|---|
| 실행 파일에서 섹션 추가하기 (0) | 2019.03.23 |
| C언어 #Pragma commnet, #Pragma data_seg 란 (0) | 2018.09.04 |
| EP(Entry Point)란 (0) | 2018.09.04 |
| 64비트 리버싱 (0) | 2018.08.29 |